Sehr geehrte Damen und Herren,

nachdem wir uns in dem Schwerpunktthema unseres letzten Datenschutz-Newsletters bereits ausführlich mit datenschutzrechtlichen Aspekten der Corona-Pandemie auseinandergesetzt haben, gibt es in der Zwischenzeit neue Entwicklungen und Diskussionen zu dieser Thematik. Über die aktuellen Entwicklungen, beispielsweise bezüglich der Planung einer App zur Bekämpfung des Corona-Virus und der Hinweise der Berliner Datenschutzbeauftragten zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen, möchten wir Sie daher in diesem Monat weiter informieren. Außerdem berichten wir in gewohnter Weise auch über andere aktuelle Geschehnisse aus dem Datenschutzrecht, zum Beispiel über ein Bußgeld in Höhe von 50.000 Euro, das von der Datenschutz-Aufsichtsbehörde Brandenburg wegen einer fehlenden schriftlichen Vereinbarung zur Auftragsverarbeitung und nicht ordnungsgemäßer Auskunftserteilung verhängt wurde.

In unserem Schwerpunktthema informieren wir Sie in diesem Monat über den Einsatz mobiler Endgeräte in Unternehmen und berücksichtigen dabei auch Fragestellungen, die sich aktuell aufgrund der Kontaktbeschränkungen in vielen Unternehmen stellen.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Einsatz mobiler Endgeräte in Unternehmen

Datenschutzrechtliche Fragestellungen im Zusammenhang mit der Nutzung von mobilen Endgeräten in Unternehmen stellen sich in der aktuellen Situation verstärkt, da Arbeitnehmer angesichts der Kontaktbeschränkungen aufgrund der Corona-Pandemie auf Tele- und Videokommunikation angewiesen sind und dienstliche Tätigkeiten vermehrt in das Home Office ausgelagert werden. Diese Maßnahmen lassen sich häufig nur umsetzen, wenn die Mitarbeiter für ihre Tätigkeit mobile Endgeräte, beispielsweise Smartphones, Laptops und Tablets, nutzen können.

Bereits bei der Anschaffung und Einrichtung der Geräte, aber auch bei ihrer Nutzung durch die Arbeitnehmer sollte die Einhaltung datenschutzrechtlicher Bestimmungen sichergestellt werden. Wir haben dies zum Anlass genommen, das Thema vertieft aufzubereiten und möchten im Folgenden auf verschiedene datenschutzrechtliche Fragestellungen im Zusammenhang mit dem Einsatz mobiler Endgeräte in Unternehmen eingehen.

Zum vollständigen Schwerpunktthema

Landesdatenschutzbeauftragte Brandenburg: 50.000 Euro Bußgeld wegen fehlender schriftlicher Vereinbarung zur Auftragsverarbeitung und nicht ordnungsgemäßer Auskunftserteilung

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg informiert in ihrem Tätigkeitsbericht für das Jahr 2019 darüber, dass sie ein Bußgeld in Höhe von 50.000 Euro wegen nicht ordnungsgemäßer Auskunftserteilung und einer fehlenden schriftlichen Vereinbarung zur Auftragsverarbeitung gegen ein Unternehmen verhängt hat.

Für die Erfüllung der Auskunftspflichten nach Art. 15 DSGVO gegenüber Betroffenen habe das Unternehmen einen Dienstleister eingeschaltet. Dieser habe die Korrespondenz mit den Betroffenen unter seinem eigenen Logo geführt, sodass den Betroffenen unklar gewesen sei, wer die für die Datenverarbeitung verantwortliche Stelle ist. Damit habe das Unternehmen gegen den Grundsatz der Transparenz verstoßen. Der Dienstleister habe außerdem den ersten Kontakt mit den Antragstellern in englischer Sprache geführt. Nach Auffassung der Behörde muss die Auskunftserteilung zumindest auch auf Deutsch erfolgen, wenn sich ein Unternehmen mit seinem Angebot an den deutschsprachigen Markt richtet.

Die Datenschutz-Aufsichtsbehörde kritisierte außerdem, dass zwischen dem Unternehmen und dem Dienstleister keine schriftliche Vereinbarung zur Auftragsverarbeitung geschlossen worden ist. Das Erforderns nach Art. 28 Abs. 9 DSGVO, eine Vereinbarung zur Auftragsverarbeitung schriftlich abzuschließen, diene Dokumentations-, Beweissicherungs- und Authentizitätssicherungszwecken und solle sicherstellen, dass die Parteien sich zu den eingegangenen Verpflichtungen mit dem konkreten Inhalt bekennen.

Unternehmen ist anzuraten, das Schriftformerfordernis des Art. 28 Abs. 9 DSGVO zu beachten. Das Schriftformerfordernis der DSGVO entspricht nicht dem Verständnis der Schriftform im deutschen Recht. Während im deutschen Recht für die Einhaltung der Schriftform die Urkunde von dem Aussteller eigenhändig durch Namensunterschrift oder mittels notariell beglaubigten Handzeichens unterzeichnet werden muss, genügt es für die Einhaltung des Schriftformerfordernisses des Art. 28 Abs. 9 DSGVO auch, die Vereinbarung in einem elektronischen Format abzufassen.

Bei der Beantwortung von Betroffenenanfragen sollten Unternehmen außerdem sicherstellen, dass die betroffene Person transparent und verständlich über die Datenverarbeitung informiert wird.

BSI warnt vor dem Einsatz der iOS-App „Mail“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Sicherheitslücken in der iOS-App „Mail“. Durch diese sei es Angreifern möglich, durch das Senden einer E-Mail das betroffene iPhone oder iPad zu kompromittieren. Dadurch bestehe das Risiko, dass Angreifer weite Teile der E-Mail-Kommunikation manipulieren, indem E-Mails gelesen, verändert und gelöscht werden. Ob darüber hinaus weitere Risiken bestehen, werde noch geprüft.

Die Schwachstellen würden bereits aktiv ausgenutzt. Berichten zufolge bestreitet Apple demgegenüber, dass aufgrund der Sicherheitslücken ein unmittelbares Risiko für die Nutzer besteht. Es gebe keine Beweise dafür, dass die Schwachstellen bereits aktiv ausgenutzt werden.

Das BSI schätzt die Sicherheitslücken jedoch als sehr kritisch ein. Solange die Sicherheitslücken nicht behoben sind, empfiehlt das BSI den Anwendern, die App zu deinstallieren oder alternativ die mit der App verknüpften Accounts zu deaktivieren. Die Möglichkeiten zur Ausnutzung der Schwachstellen würden sich je nach iOS-Version unterscheiden. Während bei iOS 13 das reine Empfangen einer schädlichen E-Mail ausreiche, um die Schwachstelle auszulösen, müsse die E-Mail ab iOS 12 abwärts auch durch die Nutzerinnen und Nutzer geöffnet werden.

Nach eigenen Angaben hat das BSI Apple aufgefordert, die Sicherheitslücken schnellstmöglich zu beheben. Sobald das entsprechende von Apple angekündigte iOS-Update zur Verfügung steht, sollte dies von den Nutzern unverzüglich eingespielt werden.

Berliner Datenschutzbeauftragte zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk hat angesichts der Corona-Pandemie eine Bewertung zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen abgegeben. Es wurde außerdem eine Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen veröffentlicht.

Ein wesentliches Risiko bestehe darin, dass bei Videokonferenzen unbefugt mitgehört oder die Konferenz aufgezeichnet und ausgewertet werden könne. Die veröffentlichten Informationen der Berliner Datenschutzbeauftragten enthalten deshalb Anforderungen und Empfehlungen für die Durchführung von Videokonferenzen.

Unternehmen sollten danach zunächst überlegen, ob anstelle von Videokonferenzen auch Telefonkonferenzen ausreichen, um die gewünschte Abstimmung herbeizuführen. Eine Telefonkonferenz könne viel leichter datenschutzgerecht durchgeführt werden. Wenn eine Videokonferenz durchgeführt wird, solle das Unternehmen prüfen, ob es ihm mit verhältnismäßigem Aufwand möglich ist, einen eigenen Dienst mit öffentlich verfügbarer oder kommerziell erhältlicher Software bereitzustellen. Dabei solle sichergestellt werden, dass die eingesetzte Software keine Daten von Mitarbeitern und deren Kommunikationspartnern an den Hersteller zur eigenen Nutzung übermittelt. Auch solle geprüft werden, ob eine der Lösungen europäischer Anbieter den Bedürfnissen des Unternehmens entspricht. Videokonferenzen sollten zudem über verschlüsselte Kanäle abgewickelt werden.

Die Datenschutzbeauftragte teilte außerdem mit, dass einige verbreitet eingesetzte Anbieter die von ihr aufgeführten Bedingungen nicht erfüllen. Darunter würden Microsoft, Skype Communications und Zoom Video Communications fallen. Eine nähere Begründung dazu enthält die Veröffentlichung nicht. Es wird aber darauf hingewiesen, dass nicht datenschutzgerechte Lösungen, die aufgrund der Einführung der Kontaktbeschränkungen kurzfristig eingesetzt wurden, so bald wie möglich abgelöst werden sollten.

Angesichts dieser Ausführungen sollten Unternehmen bei der Durchführung von Videokonferenzen darauf achten, die Anforderungen des Datenschutzrechts umzusetzen und Maßnahmen zur Datensicherheit zu ergreifen.

App zur Eindämmung des Corona-Virus

Eine App soll bald dabei helfen, die Ausbreitung des Corona-Virus einzudämmen. Durch die App soll es ermöglicht werden, Infizierte und Ansteckungen nachzuvollziehen und Kontaktpersonen besonders schnell zu informieren, wenn sich jemand mit dem Corona-Virus infiziert hat. Dem Nutzer soll mitgeteilt werden, wenn er sich längere Zeit in der Nähe einer Person aufgehalten hat, bei der später eine Infektion festgestellt wurde.

Nachdem in der letzten Zeit viel über datenschutzrechtliche Aspekte im Zusammenhang mit der App, insbesondere zu der Frage, wo die Daten gespeichert werden und wer darüber die Kontrolle hat, gesprochen wurde, wurde diesbezüglich nun eine Entscheidung getroffen. Nachdem zunächst eine zentrale Speicherung der Nutzerdaten favorisiert worden war, entschied die Bundesregierung sich nun für eine dezentrale Softwarearchitektur. Nach eigenen Angaben verfolgt sie bei der Entwicklung der App einen Ansatz, der „auf Freiwilligkeit beruht, datenschutzkonform ist und ein hohes Maß an IT-Sicherheit gewährleistet“. Um diese Anforderungen zu erfüllen, sollen zwischen zwei oder mehreren Nutzern der Anwendung, die sich über einen längeren Zeitraum in kritischer Nähe zueinander aufhalten, temporäre verschlüsselte Identitäten ausgetauscht werden. Im Infektionsfall wird ohne Identifikation der Kontaktpersonen der infizierten Nutzer eine Benachrichtigung veranlasst.

Bei einem zentralen Ansatz würde die App die Daten, etwa IDs und Zeitstempel der Nutzer, mit denen eine infizierte Person in Kontakt war, an einen zentralen Server schicken. Dort kann anhand dieser Informationen bestimmt werden, welche Nutzer über ein Infektionsrisiko informiert werden müssen.

Aufgrund der Tatsache, dass bei einer zentralen Speicherung die Daten genutzt werden könnten, um beispielsweise Nutzer weitergehend zu überwachen, wird die Entscheidung für den dezentralen Ansatz von vielen Datenschützern begrüßt. Bei diesem erfolgt der Abgleich auf den Geräten der Nutzer und nicht auf einem zentralen Server.

Nach Angaben des Bundesgesundheitsministeriums soll die App „sehr bald“ einsetzbar sein. Es bleibt abzuwarten, wie die genaue Ausgestaltung der App letztendlich aussehen wird.

Arbeitsgericht Wesel: Videoüberwachung von Arbeitnehmern zur Einhaltung des Abstandsgebots rechtswidrig

Das Arbeitsgericht Wesel hat in einer Pressemitteilung über einen Beschluss (Arbeitsgericht Wesel, 2 BVGa 4/20) bezüglich der Videoüberwachung von Arbeitnehmern zur Einhaltung des Abstandsgebots informiert.

Das betroffene Unternehmen, ein Logistik- und Versandunternehmen mit Sitz in Rheinberg, das einem internationalen Konzern angehört, wurde von seinem Betriebsrat im Wege eines einstweiligen Verfügungsverfahrens wegen der Verletzung von dessen Mitbestimmungsrechten auf Unterlassung in Anspruch genommen. Das Unternehmen habe anhand von Bildaufnahmen der Arbeitnehmer im Betrieb die Einhaltung der im Rahmen der Corona-Pandemie empfohlenen Sicherheitsabstände von mindestens zwei Metern kontrolliert. Dazu habe es die im Rahmen der betrieblichen Videoüberwachung erstellten Aufnahmen verwendet, die auf im Ausland gelegenen Servern mittels einer Software anonymisiert worden seien.

Das Arbeitsgericht hat dem Unterlassungsanspruch des Betriebsrates teilweise stattgegeben. Hierbei ist das Arbeitsgericht davon ausgegangen, dass die Übermittlung der Daten ins Ausland der im Betrieb geltenden Betriebsvereinbarung zur Installation und Nutzung von Überwachungskameras widerspricht. Zudem hat das Gericht bei seiner Entscheidung darauf abgestellt, dass die Mitbestimmungsrechte des Betriebsrates aus § 87 Abs. 1 Nr. 6 und 7 BetrVG verletzt sind. Der Beschluss ist noch nicht rechtskräftig.